Source: https://thehackernews.com/2025/09/github-mandates-2fa-and-short-lived.html
🛡 概要
GitHubは最近のnpmエコシステムを狙った供給チェーン攻撃に対応するため、認証および公開オプションを変更すると発表しました。この変更は、トークンの悪用や自己複製マルウェアによる脅威に対処することを目的としています。具体的には、2要素認証(2FA)を必須にし、7日間の有効期限を持つ細分化トークンを導入し、CI/CDワークフローから直接npmパッケージを安全に公開できる「信頼された公開」を実現します。
🔍 技術詳細
信頼された公開により、npmトークンの必要がなくなり、各公開の際に短命でワークフロー固有の認証情報を使用して暗号的な信頼を確立します。この仕組みにより、npm CLIはパッケージの由来証明を自動的に生成・公開します。GitHubは、古いクラシックトークンの廃止、TOTP 2FAからFIDOベースの2FAへの移行、細分化トークンの有効期限短縮などの措置を講じるとしています。これにより、トークンをバイパスするオプションが削除され、2FAを強制するローカル公開が推奨されます。
⚠ 影響
これらの変更は、供給チェーン攻撃のリスクを大幅に軽減することが期待されます。特に、最近のShai-Hulud攻撃のように、自己複製型のワームがnpmパッケージに注入され、開発者のマシンから機密情報を盗む事例が発生しているため、セキュリティ強化は急務とされています。これらの新しいセキュリティ機能により、悪意のある行為者がトークンを悪用するリスクは低下し、開発者はより安全にパッケージを公開できるようになります。
🛠 対策
ユーザーは、GitHubの新しいセキュリティ対策に適応するために、2FAを設定し、トークンの管理を見直す必要があります。また、信頼された公開の機能を利用して、CI/CDワークフローの安全性を高めることが重要です。さらに、依存関係をチェックする専用ツールの使用を推奨し、悪意のあるパッケージから自らを守るための対策を講じることが求められます。これにより、サプライチェーンの信頼性を向上させ、将来的な攻撃から保護されることが期待されます。
